web-dev-qa-db-ja.com

ChromiumのXSS監査員はスクリプトの実行を拒否しました

これは、Chromeインスペクターからのメッセージです。

XSS Auditorは、ソースコードがリクエスト内で見つかったため、http://localhost/Disposable Working NOTAS.phpのスクリプトの実行を拒否しました。サーバーが「X-XSS-Protection」ヘッダーも「Content-Security-Policy」ヘッダーも送信しなかったため、監査員が有効になりました。

...ワークフローの大部分に使用するノートブックのlocalhostに数十個のWebサイトがあり、過去数日間、更新されたChromeが何かを変更した後、ほとんどすべてのウェブサイトのテキストエリアのコンテンツがファイルに保存されなくなりました。

編集内容を保存していたコードは一様に壊れています。新しいテキストを入力し、saveをクリックして、ブラウザで、作業中のWebページのスクリプトでfile〜writingサブルーチンを実行する代わりに、新しい空白ページを開くだけです。その後、[戻る]ボタンを押すと、テキスト領域に新しく追加されたコンテンツが表示されますが、ファイルには変更は追加されません。

27
MountainMan

XSS保護を無効にするようにChromeに伝えたい場合は、X-XSS-Protectionヘッダーの値は0。 PHPを使用しているように見えるので、コンテンツが出力される前に常に実行される場所にこれを追加します。

header("X-XSS-Protection: 0");
43
icktoofay

XSS Auditorによってブロックされている場合は、コードを単純に無効にする前に、コードにXSS脆弱性があるかどうかを確認する必要があります。

XSS Auditorによってブロックされている場合、XSSの脆弱性があり、それを認識していなかった可能性があります。 XSS Auditorを単純に無効にすると、脆弱性が残ります。根本的な病気ではなく、症状を治療します(根本的な原因)。

17
D.W.

最近XSSを勉強していたときに、まったく同じ問題に遭遇しました。そして、以下のスクリーンショットはPHPバイパスする方法Chrome XSS Auditor。

--header( "X-XSS-Protection:0");を追加するだけです。

enter image description here

2
Leo Bi